CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
10.4.2 软件安全测试
1.软件安全测试基本概念
2.软件安全测试方法
模糊测试和渗透测试是常用的软件安全性测试方法
(1)模糊测试
模糊测试,也称Fuzz测试
一种通过提供非预期的输入并监视异常结果来发现软件故障的方法
模糊测试的主要步骤
生成大量的畸形数据作为测试用例
将这些测试用例作为输入应用于被测对象
检测和记录由输入导致的任何崩溃或异常现象
查看测试日志,深入分析产生崩溃或异常的原因
影响模糊测试效果的一些关键因素
测试点
样本选择
数据关联性
自动化框架
异常监控与异常恢复
分析评估
(2)渗透测试
渗透测试是一种模拟攻击者进行攻击的测试方法,从攻击的角度来测试软件系统,并评估系统安全性的一种测试方法
渗透测试会使用多种网络安全工具,自动化的渗透测试平台也逐渐出现,比较著名的包括IMPACT、CANVAS和Metasploit
开展渗透测试必须注意以下两点
它是非破坏性测试
需要进行测试风险控制
(3)静态代码安全测试
3.安全测试思路
做好软件安全性测试的必要条件
(1)充分了解软件安全漏洞
(2)评估软件安全风险
安全性缺陷数据评估
采用漏洞植入法来进行评估
(3)拥有高效的软件安全测试技术和工具
注:以上内容来源于网络,如有侵权,可联系客服删除
